Q Qualys. 


VMware 認証 


認証 スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認証 を 設定 し て 使用 する と 、 ホス ト を さら に 詳し く 評 価 
し 、 最も 正確 な 結果 を 取得 し 、 誤 検出 を 減ら すこ と が で きま す 。 本 書 で は 、 VMware 認証 の 設定 に 関す る ヒン ト と べ ベ 
スト プラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事項 


認証 を 使用 する 理由 


認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で あり 、 脆弱 性 スキ ャ ン で も 推奨 
され て いま す 。 


資格 情報 の 安全 性 に つい て 

資格 情報 は 、 読 み 取 り (READ) 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し 
た り 、 何 か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ 
ン の 実行 中 に の み 使 用 され ます 。 


操作 手順 


まず 、 対象 の ホス ト 上 で 認証 スキ ャ ン 用 の VMware ユー ザ ア カ ウ ント と 権限 を 設定 し ます 。 次 に 、Qualys を 使用 し 
て 次 の 手順 を 実行 し ます 。 1) VMware 認証 レコ ー ド を 追加 し て 、 資 格 情報 と ホス ト を 関連 付け ます 。 2) 認証 が 有効 
な (コン プラ イア ンス プロ ファ イル で は 常に 有効 ) オ プシ ョ ンプ ロフ ァイル を 使用 し て 、 ス キャ ン を 開始 し ます 。 3) 認証 
レポ ー ト を 実行 し て 、 スキャン 対象 の 各 ホ スト で 認証 が 成功 また は 失敗 し た か を 確認 し ます 。 


サポ ー ト 対象 


VMware ESXi 4.x、 5.x、 6.x、 お よび ESX 3.3 以降 を 実行 し て いる VMware vSphere コン ポー ネン ト の 認証 マッ プ 
お よび 認証 スキ ャ ン を 実行 で きま す 。 VMware 認証 は 、 マップ 、 脆弱 性 スキ ャ ン 、 コ ンプ ライ アン スス キャ ン で サ 
ポー ト さ れ て いま す 。 認証 マッ プ に よる 検出 に は ESXi ホス ト の み が 含 まれ 、 マップ 結果 に 検出 され た ESXi サー バ 
と その ゲス トシ ステ ム が 示さ れ ま す 。 


使用 する 資格 情報 


サー ビス 資格 情報 に 、ESXi ホス ト に 対す る 読み 取り 専用 以上 の アク セス 権 を 設定 する 必要 が あり ます 。 また 、 
Global.Settings、Host.Config.Change 設定 、 お よび Authorization.ModifyPermissions (ESXi 6.5 お よび 6.0) と いっ 
た 権限 も 更に 必要 に な り ま す 。 こう し た 権限 を 必要 と する ロー ル の 作成 方 法 に つい て は 、 ヘ ルプ を 参照 し て くだ さ 
い 。 


ESXi ホス ト が Active Directory ドメイン に 参加 し て いる 場合 は 、 ド メイ ン レ ベル の 資格 情報 を 使用 で きま す 。 参加 し 
て いな い 場 合 は 、 対 象 の 各 マ シン で 個別 の 資格 情報 が 必要 に な り ま す 。 
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認証 マッ プ に つい て 


VMware 認証 


想 ゲ スト ホス ト の リス ト を 取得 し 


を 使用 し て マッ プ を 実行 する 場合 、vSphere API 呼び 出し を 使用 し て 、VMware サー バ 上 に ある 仮 


Vmware と の 通信 


各 ESXi ホス ト で 提供 され る vSphere API/VI API( デ フォ ルト で は 、 ポー ト 443) に 対し て 通信 が 確立 され ます 。 
vSphere API は 、 すべて の vSphere コン ポー ネン ト で 使用 され る SOAP API で す 。 これ は 、 VI Client が ESXi ホス 


ト と の 通信 に 使 


現時 点 で は 、vCenter サ 


E す 。 


VMware 認証 レコ ー ド 


Qualys で VMware 認証 レコ ー ド を 作成 し て 、 資 格 情報 と ホス ト を 関連 付け ます 。 


レコ ー ド を 作成 する 場所 


「Scans」 つ TAuthentication」 つ 「New」 つ TVMware」 つ 「VMware ESXi」 を 選択 し ます 。 


‘= Scans 


目 | Search 


wv 


「 | Network 


Global Default 


Agent Test 


Global Default 


Global Default 


| Global Default 


Global Default 


Scans Maps 


| New v | 


Operating Systems... 


Network and Security... 


Applications. 
Databases... 


System Record Templates... 


Authentication Vaults 
Download.… 
Network _ Un 区 


バ と は 通信 を 行い ませ ん 。 
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| 


Schedules Appliances 
“ Title 
| 
» Windows Agent 138 
12 10.115.76.151-10.115.76. 
人 vCenter 
3 vCenter Mapping List 

vCenter Mapping Upload 


(wwaeEsx 
CWwssess ) 


10.115.68.145 


E す 。 vSphere API で は 、 実 行 中 の 仮想 ゲス ト だ けが 列挙 され 、 マ ッ プ 結果 に 表示 さ 
れ ま す 。 な お 、 マッ プ 結 果 に 表示 され る の は 、VMware Tools が イン スト ー ル され て いる 


反 想 ゲス ト だ け で す 。 


Qualys 認証 スキ ャ ン 


H す る API と 同じ で す 。 Scanner Appliance と この API と の 間 の ルー ティ ング お よび ファ イア ウォ ー 
ル で 、 こ の 通信 を 許可 する 必要 が あり ヨ 


入力 する ユー ザ 名 


「 ド メイ ユーザ 名 」 と いう 形式 で ESXi ユー 
ザ 名 また は Windows ドメイン ユー ザ 名 を 入 
移し ます 


「Hosts」 フ ィ ー ル ド に 入力 する 内 容 


信頼 で きる ルー ト 認 証 局 に よっ て 賭 名 され た 
カス タム SSL 証明 書 が イン スト ー ル され て い 
る 、 すべて の ESXi ホス ト の IP アド レス に 対 
応 し た ホス ト の FQDN リス ト を 指定 し ます 。 複 
数 の ホス ト が ある 場合 は 、 カ ンマ で 区 切り ま 
す 。 


証明 書 検証 オプ ショ ン 


完全 な SSL 証明 書 の 検証 を 実行 する 場合 
は 、「Use SSL」 オ プシ ョ ン を 選択 し ます 。 


ホス ト の SSL 証明 書 が 自己 署 名 され て いる 
か 、 カ スタ ムル ー ト 認証 局 に よっ て 署名 され 
て いる SSL 証明 書 を 使用 し て いる 場合 、 
「Skip Verify」 を 選択 し ます 。 この 場合 、 ホ ス 
ト の FQDN リス ト は 不要 で す 。 


Qualys 認証 スキ ャ ン 


VMware ESXi Authentication Record Launch Help 


Record Title 


Login Credentials > 
Use the basic login credential or choose to use authentication vault for authenticated scanning 
mame am 


Login Credentials 


® Basic Authentication OAuthentication Vault 〇 Use vCenter 


Comments Hosts esxF51-34.qualys.com 
Use SSL 
Skip Verify 口 
Port 443 | (Default is 443) 
Password * eseeee 


Confirm Password * 


Save Cancel 


VMware ESXi Authentication Record Launch Help 


Record Title Login Credentials 
® Basic Authentication ( 〇 Authentication Vault ( 〇 Use vCenter 
Login Credentials > 
Use the basic login credential or choose to use authentication vault for authenticated scanning 
IPs Username * qualys_user 
ー に | 
Use SSL 
Skip Veriy 口 
Port 443 | (Default is 443) 
Password * COO 


Confirm Password * 


Save Cancel 


VMware ESXi Authentication Record EIC 


Record Title Login Credentials 
(⑳ Basic Authentication ( 〇 Authentication Vault ( 〇 Use vCenter 
Login Credentials > 
Use the basic login credential or choose to use authentication vault for authenticated scanning 
IPs Username * qualys_user 
Comments Hosts esxi-51-34.qualys.com 


Port 443 | (Default is 443) 


Password * COL 


Save Cancel 


ポー ト 設 定 に つい て 

デフ ォ ル ト で は 、 ポー ト 443 で ESXi Web 
サー ビス と 通信 し ます が 、 こ の 設定 は カス タ 
マイ ズ 可 能 で す 。 


Vault に ある パス ワー ド に アク セス する 方 法 


Vault に ある パス ワー ド に アク セス する こと が 
で きま す 。 CyberArk PIM Suite 、 Thycotic 
Secret Server、 Lieberman ERPM な ど 、 複数 
の サー ド バ パー ティ の パス ワー ド Vault と の 統 
合 が サポ ー ト され て いま す 。「Scans 」 つ 
「Authentication] > 「New」 = 「Authentication 
Vaults」 に 移動 し て 、 使用 し て いる Vault シス 
デム を 設定 し ます 。 次 に レコ ー ド で 
「Authentication Vault」 を 選択 し 、Vault の タ 
イプ と 名 前 を 選択 し ます 。 スキ ャ ン 時 に は 、 レ 
コー ド 内 の アカ ウン ト 名 と Vault で 見 つか っ 
た パス ワー ド を 使用 し て ホス ト へ の 論証 が 行 
われ ます 。 


レコ ー ド に 追加 する IP 

指定 され た 資格 情報 を 使用 し て スキ ャ ン エ ン 
ジン が ログ イン する 必要 が ある ESXi サー バ 
の IP アド レス を 追加 し ます 。 特定 の 1 つの 
ESXi サー バ を 、 アカ ウン ト 内 の 1 つの 
VMware レコ ー ド の み に 追 加 で きま す 。 


最終 更新 日 : 2020 年 6 月 19 日 


Qualys 認証 スキ ャ ン 


VMware ESXi Authentication Record Eero 


Record Title Login Credentials 
® Basic Authentication OAuthentication Vault ( 〇 UsevCenter 
Login Credentials > 
Use the basic login credential or choose to use authentication vault for authenticated scanning 
IPs Username * qualys_user 
Comments Hosts esxF51-34.qualys.com 


Use SSL 
Skip Veriy 口 
Password* eseeee 


Save Cancel 


VMware ESXi Authentication Record ET 
Record Title Login Credentials 

〇 Basic Authentication 、@AuthenticetonVaut 〇 Use vCenter 
Login Credentials > 

Use the basic login credential or choose to use authentication vault for authenticated scanning 
IPs Username * qualys_user 
Comments Hosts 

Use SSL 

Skip Verify 口 

Por 443 | (Default is 443) 

Save Cancel 
VMware ESXi Authentication Record Launch Help 
Record Title IPs 
Add IPs to your VMware ESXi record. 
Login Credentials 
Enter or Select IPs Select IPs | Select Asset Group | Remove | Clear 

IPs > 10.10.34.196 
Comments 


口 Display each IP/Range on new line 


Save Cancel 


